ContaClara
Conformidade · 9 min de leitura

LGPD em telecom corporativo: o que muda em 2026 para a empresa contratante

O contratante de telecom corporativo é Controlador dos dados de colaboradores nas linhas. Veja as obrigações práticas LGPD 2026 — DPA, prazo ANPD, retenção de detalhado.

Sumário do artigo · 5 seções
TL;DR

Quando a sua empresa contrata linhas corporativas e associa colaboradores a elas, você se torna Controlador dos dados pessoais desses colaboradores — não a operadora. Em 2026, com fiscalização ANPD ativa e multa de até 2% do faturamento (limitada a R$ 50M por infração), três obrigações práticas viraram requisito mínimo: DPA assinado com qualquer fornecedor que processa esses dados (operadora, plataforma de gestão, MDM), prazo de retenção do detalhado da fatura limitado ao necessário, e comunicação de incidentes de segurança em até 72 horas. Este post cobre o que precisa estar formalizado e os erros mais comuns que vimos.

Quem opera telecom corporativo em empresa com 100+ linhas convive com um detalhe que costuma passar despercebido até virar fiscalização: o detalhado da fatura é um documento cheio de dado pessoal. Nome do colaborador associado, número de celular, padrão de uso (quem ligou pra quem, quando, por quanto tempo, de onde), consumo de dados, localização aproximada quando há geolocalização ativa. Tudo isso é dado pessoal sob a LGPD — e a empresa contratante é a Controladora.

Em 2026, com fiscalização ANPD ativa e multa de até 2% do faturamento (limitada a R$ 50 milhões por infração), três obrigações práticas viraram requisito mínimo de qualquer operação telecom corporativa: DPA assinado, retenção controlada do detalhado, e plano de resposta a incidentes com prazo definido.

Este post não substitui assessoria jurídica especializada — ele documenta o que vimos repetidamente na prática operacional e o que está cravado nos guias da ANPD publicados entre 2024 e 2026.

Quem é Controlador e quem é Operador em telecom corporativo

A distinção importa porque define quem responde por quê. A LGPD usa dois papéis:

  • Controlador (art. 5º, VI): quem decide as finalidades e os meios do tratamento de dados pessoais.
  • Operador (art. 5º, VII): quem trata dados pessoais em nome do Controlador.

No caso típico de empresa que contrata 100+ linhas corporativas para colaboradores:

  • A empresa contratante é Controladora. Decide quais colaboradores recebem linha, com qual plano, com qual nível de detalhamento de uso ela quer ver. Define se vai associar a linha ao CPF do colaborador, ao nome completo, apenas ao centro de custo, etc.
  • A operadora de telecom é Operadora. Processa esses dados (registros de chamada, dados de localização, padrão de uso) em nome da empresa contratante, para entregar o serviço contratado.
  • Plataforma de gestão de fatura (incluindo a ContaClara) é também Operadora — processa o mesmo conjunto de dados, em nome do Controlador, para a finalidade específica de gestão e auditoria.
  • MDM (Mobile Device Management) é Operador.
  • Sistema de RH que mantém a associação colaborador↔linha é Operador (ou parte do tratamento da empresa contratante como Controladora, dependendo da arquitetura).

Quem é Controlador responde perante a ANPD se houver incidente, tratamento indevido, ou queixa de titular. Operador responde solidariamente quando descumpre instruções do Controlador ou viola a LGPD diretamente (art. 42).

Obrigação 1 — DPA assinado com cada Operador

O art. 39 da LGPD obriga o Operador a seguir as instruções do Controlador. Mas instrução verbal não defende ninguém em fiscalização — por isso virou prática consagrada formalizar isso por escrito através de DPA (Data Processing Agreement).

Um DPA básico precisa cobrir:

  • Finalidade exata do tratamento (ex.: “gestão financeira de telecom corporativo” — não “qualquer uso comercial”)
  • Categorias de dado processadas (identificação de colaborador, número de linha, padrão de uso, dados de localização quando aplicável)
  • Base legal do tratamento (geralmente “execução de contrato” — art. 7º, V)
  • Duração do tratamento e prazo de retenção
  • Subcontratados (subprocessadores) do Operador, com obrigação de informar mudanças com antecedência
  • Medidas técnicas e organizacionais mínimas (criptografia, controle de acesso, audit trail, etc.)
  • Procedimento de devolução ou destruição dos dados ao fim do contrato
  • Apoio do Operador no atendimento a direitos do titular (art. 18 LGPD)
  • Procedimento de comunicação de incidente

Operadoras grandes (Vivo, Claro, TIM) já têm template padrão de DPA — pedir através do gestor da conta. Plataformas SaaS de gestão sérias também oferecem DPA na contratação. Se o fornecedor não tem DPA pronto, é sinal de baixa maturidade — vale reavaliar a contratação ou exigir a formalização antes da renovação.

Obrigação 2 — Retenção do detalhado dentro do prazo necessário

A LGPD trabalha com o princípio de necessidade (art. 6º, III): coletar e guardar apenas o necessário pra finalidade. Aplicado a telecom corporativo, isso significa:

  • Detalhado de chamadas e dados deve ser guardado pelo prazo da finalidade financeira (auditoria, conciliação, defesa em contestação). Prazo razoável documentado: 24 a 36 meses.
  • A operadora é obrigada por Anatel a guardar por 36 meses (Res. 632/2014 art. 133) — isso é obrigação dela, não sua.
  • Acima de 36 meses sem justificativa específica é exposição desnecessária. Se sua empresa guarda histórico de 5+ anos do detalhado em fileshare interno, está acumulando risco que não traz benefício operacional proporcional.
  • Dados agregados (totais por linha, totais por departamento, totais por mês) podem ser guardados por mais tempo porque são úteis pra benchmark histórico e não trazem o mesmo risco de detalhado individualizado.

Boa prática operacional: definir na política interna de retenção dois prazos diferentes — detalhado individualizado (24-36 meses) e relatórios agregados (5-7 anos pra fins fiscais e gerenciais). A diferença reduz exposição sem perder utilidade.

Obrigação 3 — Plano de resposta a incidentes com prazo definido

Incidente de segurança envolvendo dado pessoal precisa ser comunicado à ANPD “em prazo razoável” (art. 48 LGPD). A Resolução CD/ANPD nº 15/2024 orientou, na prática, 72 horas da confirmação do incidente que represente risco relevante a titulares.

Em telecom corporativo, os incidentes mais comuns são:

  • Acesso não autorizado a fileshare onde fatura PDF estava guardada
  • Compartilhamento indevido de detalhado por colaborador antes do desligamento
  • Vazamento via fornecedor (operadora, MDM, plataforma de gestão) que toca seus dados
  • Reidentificação acidental de relatório que deveria ser anonimizado

Pra estar preparada, sua empresa precisa de:

  1. Procedimento documentado de quem é avisado quando suspeita-se de incidente (DPO, jurídico, segurança da informação, gestor do contrato)
  2. Critério claro do que conta como “incidente com risco relevante” (não é qualquer log estranho — precisa de avaliação)
  3. Modelo de comunicação à ANPD já redigido, com lacunas pra preencher na hora (descrição do incidente, dados envolvidos, medidas adotadas, canais para esclarecimento)
  4. Modelo de comunicação aos titulares afetados quando o risco for material
  5. Treinamento mínimo dos times que tocam os dados (financeiro, TI, RH gestor de contratos) sobre quando escalar

Empresas que adotam plataforma de gestão tipo a ContaClara recebem do fornecedor o suporte técnico previsto em DPA (notificação rápida em caso de incidente do lado do Operador), mas a comunicação à ANPD é obrigação do Controlador — sua empresa.

O que entra em prática em 2026

A ANPD entrou em ciclo de fiscalização ativa a partir de 2024, com sanções estruturadas (advertência → multa simples → multa diária → publicação da infração → bloqueio/eliminação de dados). 2026 vai consolidar:

  • Cobrança de DPA em qualquer fiscalização envolvendo dados pessoais corporativos
  • Auditoria de retenção — empresas com históricos muito longos sem justificativa documentada são alvo fácil
  • Comunicação tardia agravando sanção — empresas que demoraram além de 72h sem justificativa razoável perderam atenuante

Como Controlador de dados de telecom corporativo, sua empresa precisa, no mínimo:

  1. DPA assinado com operadora principal (em 2026, sem desculpa) ✓
  2. DPA assinado com plataforma de gestão de fatura ✓
  3. DPA assinado com MDM e sistema de RH ✓
  4. Política interna de retenção do detalhado (24-36 meses pra detalhado individualizado) ✓
  5. Procedimento de resposta a incidente com prazo de 72h definido ✓
  6. Encarregado de Tratamento de Dados (DPO) identificado, mesmo que cumulativo com outro papel ✓

Nada disso é projeto de 6 meses. Pra empresa que já tem operação telecom corporativa rodando, é um checklist que pode ser fechado em 4-8 semanas com 1 pessoa do jurídico + 1 do operacional. A ContaClara entrega DPA padrão na contratação — solicite ao DPO (dpo@usecontaclara.com.br) se quiser revisar o modelo antes de assinar.

Posts próximos vão entrar em CNPJ alfanumérico (jul/2026), CONFAZ e nota fiscal eletrônica em telecom, e o que muda na retenção da fatura com a reforma tributária. Se quer receber por e-mail quando sair, a newsletter está aceitando inscrição.

Perguntas frequentes

Minha empresa é Controladora ou Operadora dos dados nas linhas corporativas?

Sua empresa é Controladora dos dados pessoais dos colaboradores associados às linhas corporativas (nome, número, departamento, padrão de uso). A operadora é Operadora desses dados — processa em nome da sua empresa pra prestar o serviço. Plataforma de gestão de fatura é também Operadora. Como Controladora, sua empresa decide finalidades e responde perante ANPD por incidentes ou tratamento indevido. Isso vale mesmo que você não tenha um DPO formal — a LGPD se aplica desde o início.

O que é DPA e por que minha empresa precisa assinar um com a operadora?

DPA é Data Processing Agreement — Acordo de Tratamento de Dados. É o documento que formaliza por escrito o que a Operadora (no caso, a operadora de telecom) pode e não pode fazer com os dados pessoais que processa em nome do Controlador (sua empresa). O art. 39 da LGPD obriga essa formalização. Em fiscalização ANPD, ausência de DPA é o primeiro item levantado quando há incidente. Operadoras grandes já têm template padrão — basta solicitar pelo gestor da conta.

Por quanto tempo posso guardar o detalhado de chamadas e dados das linhas?

Pelo prazo necessário à finalidade declarada — não há um número mágico cravado em lei. Para gestão financeira interna (auditoria, conciliação, defesa em contestação), o prazo razoável fica entre 24 e 36 meses. A Anatel obriga a operadora a guardar por 36 meses (Resolução 632/2014 art. 133), mas isso é obrigação da operadora; o cliente pode adotar prazo menor desde que documente a finalidade. Acima de 36 meses sem justificativa específica é exposição desnecessária — defenda-se com retenção definida e arquivada na política interna.

Tive incidente de segurança envolvendo dados das linhas. Quanto tempo tenho pra avisar a ANPD?

Não há prazo de 72h cravado em lei brasileira (esse prazo é do GDPR europeu), mas a ANPD orienta comunicação "em prazo razoável" — e na prática, na Resolução CD/ANPD nº 15/2024, o prazo recomendado para incidentes que envolvam risco relevante a titulares é 72h da confirmação. Comunicação tardia agrava a sanção. Além da ANPD, você precisa comunicar os titulares afetados (colaboradores) sempre que houver risco material a eles.

Plataforma de gestão de fatura como a ContaClara também é Operadora dos dados?

Sim. Qualquer empresa que processa dados pessoais em nome do Controlador é Operadora — vale para operadora de telecom, plataforma de gestão de fatura, MDM, sistema de RH, gateway de pagamento. Como Controlador, você precisa de DPA assinado com cada um deles. Plataformas sérias já oferecem DPA padrão como parte do onboarding; se o fornecedor não tem DPA, é sinal de baixa maturidade de proteção de dados — vale revisar a contratação.

A CNPJ alfanumérico que entra em julho/2026 muda alguma coisa em LGPD?

Não diretamente — CNPJ alfanumérico é mudança da Receita Federal sobre o formato de identificação tributária e impacta sistemas de cadastro/cobrança, não tratamento de dados pessoais. Mas vale aproveitar a revisão técnica que essa mudança vai exigir nos sistemas pra revisar também aderência LGPD do mesmo fluxo (cadastro de cliente, retenção, segregação de acesso). Times técnicos costumam concentrar revisões — esse é um bom gancho.